Reaktionen auf Audit-Log-Anomalieereignisse in Slack konfigurieren
Reaktionen auf Audit-Log-Anomalieereignisse in Slack konfigurieren
In einer Enterprise-Organisation kannst du Slack Audit-Logs verwenden, um die Nutzung in deiner Organisation zu überwachen. In Audit-Logs sind Anomalieereignisse enthalten, die auf mögliche ungewöhnliche oder verdächtige Benutzer:innen- und App-Aktivitäten hindeuten. Du kannst eine Reaktion auf ein Anomalieereignis konfigurieren, wenn Slack automatisch die Sitzung einer Benutzerin bzw. eines Benutzers auf allen Geräten beenden soll, und zwar für:
Zugriff auf Slack von einem Tor-Ausgangsknoten* aus
Daten-Scraping*
Übermäßig viele Downloads
Veraltete oder unerwartete Sitzungscookies
Gefälschte Benutzer-Agenten
Unerwartetes API-Aufrufvolumen
Unerwartete Benutzer-Agenten
*Standardmäßig aktiviert
Reaktionen auf Anomalieereignisse konfigurieren
Grundsätzlich solltest du in Erwägung ziehen, Anomalieereignissen in deinen Audit-Logs nachzugehen, um die Umstände der Aktivität zu verstehen, bevor du Maßnahmen ergreifst. Du kannst aber die Sitzungen einer Benutzerin bzw. eines Benutzers automatisch beenden, wenn ein Anomalieereignis erkannt wird, um die potenziell verdächtige Aktivität zu stoppen. Ein:e Benutzer:in, deren:dessen Sitzungen als Reaktion auf ein Anomalieereignis beendet wurden, kann sich sofort wieder mit den üblichen Anmeldedaten bei Slack anmelden.
Klicke auf dem Desktop in der Seitenleiste auf deinen Organisationsnamen.
Bewege den Mauszeiger über Tools und Einstellungen und klicke dann auf Organisationseinstellungen.
Wähle in der linken Seitenleiste Sicherheit und klicke dann auf Sicherheitseinstellungen.
Klicke in den Einstellungen für Reaktion auf Anomalieereignisse auf Aktivieren oder Bearbeiten nebenBenutzersitzungen automatisch beenden.
Klicke auf den Schalter neben einem Anomalieereignis, um es auszuwählen. Aktiviere das Kästchen neben Bestimmte Personen oder Gruppen ausschließen, um zu vermeiden, dass die Sitzungen bestimmter Benutzer:innen beendet werden, wenn das Ereignis festgestellt wird.
Klicke auf Aktivieren oder Speichern.
Hinweis: Die von dir konfigurierten Reaktionen auf Anomalieereignisse gelten nicht für externe Personen in Slack Connect-Unterhaltungen.
Benachrichtigungen für Reaktionen auf Anomalieereignisse verwalten
Wenn die aktiven Sitzungen eines Benutzers bzw. einer Benutzerin als Reaktion auf ein Anomalieereignis enden, erhält er bzw. sie eine E-Mail-Benachrichtigung von Slack. Du kannst entscheiden, ob die primären Organisationsinhaber:innen und die Sicherheitsadministrator:innen der Organisation ebenfalls benachrichtigt werden sollen und ob sie eine E-Mail oder eine Benachrichtigung in Slack erhalten.
Klicke auf dem Desktop in der Seitenleiste auf deinen Organisationsnamen.
Bewege den Mauszeiger über Tools und Einstellungen und klicke dann auf Organisationseinstellungen.
Wähle in der linken Seitenleiste Sicherheit und klicke dann auf Sicherheitseinstellungen.
Klicke in den Einstellungen für Reaktion auf Anomalieereignisse, auf Aktivieren oder Bearbeiten neben Benachrichtigungen verwalten.
Klicke auf den Schalter neben einer Benachrichtigungsart und aktiviere oder deaktiviere anschließend das Kästchen, um zu entscheiden, wer Benachrichtigungen erhalten soll.
Klicke auf Aktivieren oder Speichern.
Wer kann diese Funktion benutzen?
Organisationsinhaber:innen, Organisationsadministrator:innen und Mitglieder mit der Systemrolle Sicherheitsadministrator:in
